Cyberprzestępczość blokada

lukas89x · 7 Stycznia 2013

Komputer zablokowany przez wirus.

jessica · 7 Stycznia 2013

Trafiłeś w złym momencie: @Picasso i @Landuss są na urlopach, i nie ma tu innych osób wyznaczonych do pomagania.

Nie wiem, do kiedy są te urlopy.

Jeśli w ciągu najbliższych dni się nie zjawią, to możesz (ale nie musisz!) wykonać przynajmniej to:

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\Documents and Settings\All Users\Dane aplikacji\ctfmon.lnk

C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad

C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe

:OTL

O4 - HKLM..\Run: [OM- Counter 2.6] "C:\Program Files\OMDigit\OM- Counter 2.6\OMCounterApp.exe" File not found

O4 - HKLM..\Run: [ROC_roc_ssl_v12] C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe ()

O4 - HKLM..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv File not found

O4 - HKLM..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv File not found

O4 - HKLM..\Run: [systemup] "C:\WINDOWS\systemup.exe" stand File not found

O4 - HKLM..\Run: [tray_ico] File not found

O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-7-0\svchost.exe File not found

O4 - HKLM..\Run: [tray_ico1] File not found

O4 - HKLM..\Run: [tray_ico2] File not found

O4 - HKLM..\Run: [tray_ico3] File not found

O4 - HKLM..\Run: [tray_ico4] File not found

O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()

O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe File not found

O4 - HKCU..\Run: [Afaxyqopi] C:\Documents and Settings\Łukasz\Dane aplikacji\Yrxeal\dikik.exe ()

[2011-09-01 10:16:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok

[2011-09-01 10:14:12 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe

O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\23787~1.43\{16cdf~1\browse~1.dll) - c:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll ()

O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\22643~1.41\{16cdf~1\browse~1.dll) - File not found

O4 - HKCU..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found

O4 - HKCU..\Run: [Facebook Update] C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)

O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found

O4 - HKLM..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe" File not found

O4 - HKLM..\Run: [NPSStartup] File not found

O4 - HKLM..\Run: [2951235.exe] "C:\WINDOWS\TEMP\2951235.exe" File not found

O4 - HKLM..\Run: [3089282.exe] "C:\WINDOWS\TEMP\3089282.exe" File not found

O4 - HKLM..\Run: [37059360-loader2.exe] "C:\WINDOWS\TEMP\37059360-loader2.exe" File not found

O4 - HKLM..\Run: [4422191.exe] "C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\4422191.exe" File not found

O4 - HKLM..\Run: [5800101.exe] "C:\WINDOWS\TEMP\5800101.exe" File not found

O4 - HKLM..\Run: [640294.exe] "C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\640294.exe" File not found

O4 - HKLM..\Run: [7900818.exe] "C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\7900818.exe" File not found

O4 - HKLM..\Run: [8310637.exe] "C:\WINDOWS\TEMP\8310637.exe" File not found

O4 - HKLM..\Run: [8638114.exe] "C:\WINDOWS\TEMP\8638114.exe" File not found

O4 - HKLM..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui File not found

O4 - HKLM..\Run: [GEST] = File not found

O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.

O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\13.2.0.5\AVG Secure Search_toolbar.dll ()

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\bh\BabylonToolbar.dll (Babylon BHO)

[2012-12-06 16:57:22 | 000,003,573 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml

[2012-09-19 12:37:52 | 000,002,360 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

[2012-07-05 21:29:27 | 000,001,406 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml

[2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\CACAOWEB@CACAOWEB.ORG

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\FFXTLBR@FACEMOODS.COM

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\ILLIMITUX@ILLIMITUX.NET

[2010-10-10 15:46:56 | 000,004,669 | ---- | M] () (No name found) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\ffxtlbr@Facemoods.com\content\xpiInstallLgc.js

[2012-03-20 18:00:51 | 000,002,573 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\searchplugins\askcom.xml

[2012-09-19 12:38:09 | 000,002,223 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\searchplugins\BabylonMngr.xml

[2012-08-21 13:37:48 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\searchplugins\conduit.xml

[2009-07-31 23:42:17 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\searchplugins\daemon-search.xml

[2012-03-10 01:23:28 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\DTToolbar@toolbarnet.com

[2011-01-06 22:31:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\engine@conduit.com

[2012-09-20 08:23:31 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\ffxtlbr@babylon.com

[2010-09-26 00:13:02 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\ffxtlbr@Facemoods.com

[2013-01-04 23:55:51 | 000,000,000 | ---D | M] (MyAshampoo Community Toolbar) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}

[2008-12-11 23:49:32 | 000,000,000 | ---D | M] (BitComet Download Helper) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"

FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112555&tt=120912_cpc_3812_7&babsrc=HP_ss&mntrId=f4c7bced000000000000243c20063163"

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt

3) Użyj USBFix z opcji DELETION (jeśli masz folder "muzyka", "muza", "zdjecia" - to tylko z opcji LISTING!).

4) Zrób nowy log z OTL.

lukas89x · 8 Stycznia 2013

1. Zrobione

2. Zrobione AdwCleanerS1.txt

3. Zrobione UsbFix.txt

4. Zrobione OTL.Txt

picasso · 9 Stycznia 2013

jessica

OTL nie przetworzy tego typu linii:

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}

Linia mówi: OTL nie widzi tego na dysku... Powody mogą być dwa: polski znak w ścieżce (co tu ma miejsce) lub martwy wpis w preferencjach Firefox kierujący na nieistniejący już na dysku obiekt. W aktualnym logu tych wpisów jest mniej, ale to nie zostało przetworzone przez skrypt. Linii mniej, bo usunięto inne linie. Np.:

File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\Ä¹ÂUKASZ\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\XIJPGCZ8.DEFAULT\EXTENSIONS\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}

[2013-01-04 23:55:51 | 000,000,000 | ---D | M] (MyAshampoo Community Toolbar) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\xijpgcz8.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}

To przecież to samo...

lukas89x

Zabrakło obowiązkowego raportu z GMER. To nie jest pełny log z OTL i nie wskazano tego. Brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Zostały jeszcze rzeczy do zrobienia:

1. Firefox niezbyt dobrze wyczyszczony z adware, AdwCleaner nawet nie ruszył preferencji (a tam jest na pewno sporo, w logu OTL nie wszystko widać). Zastosuj lepszą metodę: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" z listy stron startowych usuń search.babylon.com.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
CHR - Extension: No name found = C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.8_0\
CHR - Extension: No name found = C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\
CHR - Extension: No name found = C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\.bak
CHR - Extension: No name found = C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph\1.0_0\
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear"
IE - HKCU\..\SearchScopes\{BC13CDC1-F95F-4DF0-8D18-16100386812E}: "URL" = "http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=5c0ebc21db55411ab42205e0d8132280"
IE - HKCU\..\SearchScopes\{BDBB4388-E27A-4E4B-B114-3AD8FF3E8931}: "URL" = "http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
O4 - HKCU..\Run: [Afaxyqopi] "C:\Documents and Settings\Łukasz\Dane aplikacji\Yrxeal\dikik.exe" File not found
O4 - HKCU..\Run: [WallPaper] C:\DOCUME~1\UKASZ~1\Pulpit\pobrane\WPC_BU~1\WALLPA~1.EXE /h File not found
O4 - HKLM..\RunOnce: []  File not found
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\23787~1.43\{16cdf~1\browse~1.dll) -  File not found
 
:Services
srvsysdriver32
NMIndexingService
vToolbarUpdater13.2.0
upperdev
StarOpen
avgtp
 
:Files
C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\All Users\Dane aplikacji\041318a83252b17d6639284a87697c53_c
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\ResultBrowse
C:\Documents and Settings\Łukasz\Dane aplikacji\Owleb
C:\Documents and Settings\Łukasz\Dane aplikacji\Uzyvmo
C:\Documents and Settings\Łukasz\Dane aplikacji\Yrxeal
C:\Program Files\Common Files\AVG Secure Search
C:\windows\tasks\YourFile Update.job
C:\WINDOWS\system32\drivers\avgtpx86.sys
C:\autorun.inf
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
"EnableSecureUIAPaths"=-
 
:Commands
[resethosts]
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart.

4. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) oraz GMER. By GMER się uruchomił, należy w pierwszej kolejności wykonać ogłoszenie (KLIK) i usunąć programy emulujące napędy oraz ich sterowniki:

DRV - [2011-02-27 18:27:30 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)DRV - [2009-07-30 17:48:57 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Cyberprzestępczość blokada

Rekomendowane odpowiedzi

lukas89x

Odnośnik do komentarza

jessica

Odnośnik do komentarza

lukas89x

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność